Ataque a Cadena de Suministro Compromete a Paquete de Software Axios npm

Axios es una librería npm utilizada para realizar solicitudes HTTP, incluyendo operaciones de consulta, envío y actualización de información. Con más de 100 millones de descargas a la semana, Axios se considera uno de los paquetes NPM más populares, además de ser considerado el cliente HTTP más utilizado en JavaScript.

El 31 de marzo del presente año, actores maliciosos comprometieron la cuenta NPM del responsable principal de Axios y publicaron dos versiones del paquete que contienen una dependencia maliciosa llamada “plain-crypto-js@4[.]2[.]1”, capaz de distribuir troyanos de acceso remoto (RAT) en sistemas Windows, macOS y Linux.

Este ataque inicia con un “dropper” (setup.js) que se conecta a un servidor C2 (Comando & Control), para descargar un payload compatible con el sistema operativo, permitiendo realizar la ejecución de una “shell” remota, el reconocimiento del sistema, inyección de código y la enumeración de directorios.

En sistemas Windows, se ejecuta el script en una ventana CMD oculta que acciona PowerShell y VBScript. Este malware copia la ruta de PowerShell a “%PROGRAMDATA%\wt[.]exe” para evadir detección y escribe un script en VBScript que invoca un RAT en PowerShell. Mientras que para Linux se detona un payload basado en Python que se almacena en “/tmp/ld[.]py” y, es ejecutado en segundo plano con el comando nohup.

En cambio, en el sistema operativo macOS, utiliza un payload de AppleScript para descargar un troyano binario desde un servidor externo "sfrclak[.]com[:]8000". El troyano se guarda como “/Library/Caches/com[.]apple[.]act[.]mond” y se ejecuta en segundo plano por medio de /bin/zsh.

Tras completar la infección, el dropper se autoelimina y reemplaza el archivo “package[.]json” con una versión limpia para evadir detección forense.

Google atribuye este ataque a un grupo norcoreano activo desde 2018, identificado como UNC1069, debido a que el backdoor usado en sistemas macOS coincide con el backdoor C++ “WAVESHAPER” utilizado por el ya antes mencionado, grupo malicioso.

Versiones Afectadas

Productos	Versiones Afectadas	Versiones Corregidas
Axios	[email protected]	Revertir a versiones anteriores como [email protected]
	[email protected]	Revertir a versiones anteriores como [email protected]

Recomendaciones

• Revertir a versiones anteriores seguras como [email protected] y [email protected]
• Revisar artefactos RAT: "/Library/Caches/com[.]apple[.]act[.]mond" (macOS), "%PROGRAMDATA%\wt[.]exe" (Windows) y "/tmp/ld[.]py" (Linux).
• Eliminar dependencia "plain-crypto-js" del directorio "node_modules".
• Rotar todas las credenciales del sistema.
• Auditar las canalizaciones CI/CD para las ejecuciones que instalaron las versiones afectadas.
• Bloquear tráfico de salida de bloques al dominio de comandos y control ("sfrclak[.]com").
• Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque.
• Auditar herramientas de acceso remoto (NIST CSF, 2024).
• Revisar logs para de ejecución de software de acceso remoto (NIST CSF, 2024).
• Limitar estrictamente el uso de los protocolos SMB y RDP.
• Realizar auditorías de seguridad (NIST CSF, 2024).
• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque (NIST CSF, 2024).
• Tener filtros de correo electrónico y spam.
• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
• Realizar copias de seguridad, respaldos o backups periódicos.
• Mantener los respaldos preferentemente en una red aislada a la de toda la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
• Revisar continuamente los privilegios de los usuarios.
• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
• Habilitar la autenticación multifactorial.

Referencias

1. Lakshmanan, R. (2026, marzo 31). Axios Supply Chain Attack Pushes Cross-Platform RAT via Compromised npm Account. The Hacker News. Recuperado el 1 de abril de 2026, en: https://thehackernews.com/2026/03/axios-supply-chain-attack-pushes-cross.html
2. Toulas, B. (2026, marzo 31). Hackers compromise Axios npm package to drop cross-platform malware. Bleeping Computer. Recuperado el 1 de abril de 2026, en: https://www.bleepingcomputer.com/news/security/hackers-compromise-axios-npm-package-to-drop-cross-platform-malware/
3. Lakshmanan, R. (2026, abril 1). Google Attributes Axios npm Supply Chain Attack to North Korean Group UNC1069. The Hacker News. Recuperado el 1 de abril de 2026, en: https://thehackernews.com/2026/04/google-attributes-axios-npm-supply.html
4. Arghire, I. (2026, abril 1). Axios NPM Package Breached in North Korean Supply Chain Attack. Security Week. Recuperado el 1 de abril de 2026, en: https://www.securityweek.com/axios-npm-package-breached-in-north-korean-supply-chain-attack/

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios